Das beherrschende Thema war die EU-DSGVO … und als Folge davon wurde die E-Mail-Verschlüsselung für alle Berufsgeheimnis-Träger ständig diskutiert
Zum 25. Mai 2018 trat die Europa-einheitliche Daten-Schutz-Grund-Verordnung – kurz EU-DSGVO – in Kraft.
Man muss sicherlich mehr als Phantasie mitbringen, um anzunehmen, dass in Palermo auf Sizilien und in Timişoara in Rumänien exakt gleich gehandelt wird, wenn es um das Thema Datenschutz geht.
Alle wurde erst auf der letzten Sekunde wach und man wunderte sich dann, dass externe Datenschutzbeauftragte mitteilten, sie hätten keine freien Kapazitäten mehr, um neue Mandate aufzunehmen.
„Müssen Steuerberater mit Mandanten Auftragsverarbeitungsvereinbarungen nach Art. 28 EU-DSGVO abschließen?“
Diese Frage kam Anfang 2018 hoch. Einige staatlichen Datenschutzaufsichtsbehörden vertraten zum Teil diese Auffassung und viele Datenschützer sind auch auf dieses Thema aufgesprungen und haben ihre Mandanten aufgefordert, mit ihrem Steuerberater solche Verträge abzuschließen. Hintergrund: Im alten Bundesdatenschutzgesetz BDSG wurde noch zwischen „Auftragsdatenverarbeitung“ und „Funktionsüber-tragung“ unterschieden. Steuerberater sind bei einer Beauftragung hingegen nach den geltenden Fachgesetzen (Steuerberatungsgesetz) als Freiberufler selbständig, unabhängig und eigenverantwortlich tätig. Eine gewerbliche Tätigkeit ist ihnen grundsätzlich untersagt und das widersprach nach der alten Rechtsauffassung im alten BDSG der Weisungsgebundenheit für eine Auftragsdatenverarbeitung im Sinne des alten § 11 BDSG. In der neuen EU-DSGVO gibt es den Terminus „Funktionsübertragung“ aber überhaupt nicht mehr – es gibt nur noch die „Auftragsverarbeitung“ (selbst die Einschränkung auf „Auftragsdatenverarbeitung“ wurde durch den generellen Begriff „Auftragsverarbeitung“ ersetzt). Insofern ist die Rechtsaufassung, die einige Datenschützer hier vertreten, nicht ganz von der Hand zu weisen. Anfang Mai, kurz vor Inkrafttreten der neuen Verordnung, kam dann aber Kammermitteilungen der Steuerberaterkammer mit dem Hinweis heraus, dass die Notwendigkeit zum Abschluss von Auftragsverarbeitungsvereinbarungen für Steuerberater nicht notwendig sein soll. Die Steuerberaterkammern hatten eine diesbzgl. Anfrage an das für die Datenschutz-Gesetzgebung zuständige Bundesinnenministerium BMI geschickt und dieses hatte die Rechtsauffassung geäußert, dass „Steuerberater wegen ihrer besonderen Stellung im Regelfall als Verantwortliche und nicht als Auftragsverarbeiter anzusehen sind“ und daher mit Ihren Mandanten keine „Vereinbarungen zur Auftragsverarbeitung nach Art. 28 der EU-DSGVO“ abschließen müssten. Ob diese Rechtsauffassung langfristig Bestand haben wird, bleibt abzuwarten .... vor allem bei der Lohnbuchhaltung und beim Einsatz von Belegverarbeitungssystemen (wie z.B. DATEV-Unternehmen-Online) könnten hier Zweifel geäußert werden.
Die Frage: „Brauchen Kanzleien einen Datenschutzbeauftragten?“ wurde wieder heftig diskutiert.
Die EU-DSGVO sagt aber ganz klar: Für Kanzleien, in denen mehr als neun (9) Personen beschäftigt sind, ist die Benennung eines Datenschutzbeauftragten vorgeschrieben und mit hohen Bußgeldern belegt. Die Kanzlei-Chefs, die evtl. mitarbeitende Ehefrau, die Aushilfen, Praktikanten, Azubis und sonst. Hilfskräfte – die ggfs. an personenbezogene Daten gelangen können – zählen hier mit, d.h. auch die auf Minijob angestellte Putzhilfe. SPECTRUM hat hier alle Kunden von der Ernennung eines „Alibi-Datenschutzbeauftragten“ Abstand zu nehmen. Das hilft nicht und kann sogar möglicherweise als Umgehungstatbestand schlimmere Folgen und höhere Bußgelder verursachen.
Müssen Kanzleien unter 10 Mitarbeiter nichts machen?
In der Praxis gibt es noch ein großes Missverständnis: wenn man unter 10 Mitarbeiter hat und keinen Datenschutzbeauftragten formal braucht, bedeutet das nicht, dass diese Kanzleien die gesetzlich geforderten Datenschutzrichtlinien nicht in gle-chem Maße umsetzen müssten. Der einzige Unterschied besteht darin, dass die Umsetzung der Datenschutz-Richtlinien hier in diesen kleineren Kanzleien dann auch von Personen durchgeführt werden können, die nicht offizielle Datenschutzbeauftragte sind.
Das darf dann auch z.B. die Kanzleileitung selbst machen – wenn sie denn Zeit hat und sich in die Datenschutzmaterie einarbeiten möchte. Die Anforderungen an die Fachkunde und der zeitliche Aufwand für die Umsetzung und Kontrolle der gesetzlich geforderten Datenschutz-Maßnahmen bleiben jedoch gleich bzw. sind sogar höher, da man sich aufwendig selbst erst in die Datenschutzkomplexität einarbeiten muss.
Was muss man beachten?
Es kann gesagt werden, dass die Kosten für den Steuerkanzlei-Datenschutz nach der neuen EU-DSGVO merklich steigen werden. D.h. bereits bekannte Datenschutz-Mechanismen werden wesentlich strenger ausgelegt werden und neue Anforderungen werden an die Kanzlei gestellt werden:
- Das Fundament der EU-DSGVO Bestimmungen ist das sog. „Verzeichnis der Verarbeitungstätigkeiten“ – dies muss jede Kanzlei haben (!), auch die mit weniger als 10 Mitarbeitern.
- Die technischen und Organisatorischen Maßnahmen (TOM) müssen von jeder Kanzlei dokumentiert werden. Hierzu gehören auch Zutrittskontrolle und Zugangskontrolle zur Kanzlei, Zugriffskontrolle zu den Kanzlei-Daten, Weitergabekontrolle, Eingabekontrolle, Auftragskontrolle, Verfügbarkeitskontrolle, Trennungskontrolle, Weisungskontrolle, Datenvermeidungskontrolle, Datenlöschungskontrolle, Datensicherung usw..
- Durch die neu spezifizierten Rechenschaftspflichten nach der EU-DSGVO werden die Anforderungen an die Datenschutz-Dokumentation in der Kanzlei massiv erhöht.
- Mit einer Erhebung personenbezogener Daten (was ja jeder StB macht) müssen durch die Kanzleien die neuen Transparenzpflichten nach EU-DSGVO umgesetzt werden.
- Die Einhaltung der Transparenzpflichten ist ggfs. im Rahmen von Kontrollen der zuständigen Aufsichtsbehörde dokumentiert nachzuweisen.
- Die EU-DSGVO verpflichtet Kanzleien und Unternehmen gleichermaßen, ein Datenschutz-Management einzuführen, das den Schutz der personenbezogenen Daten sicherstellen soll.
- Bei der Informationssicherheit bei der Verarbeitung personenbezogener Daten muss ein Datenschutz-Risikomanagement etabliert sein, um die Prinzipien des Privacy by Design und des Privacy by Default einzuhalten.
- Sofern erforderlich, müssen bei einem „hohen Risiko für die Rechte und Freiheiten der Betroffenen“ (z.B. wenn Gesundheitsdaten oder Partei/Gewerkschaft-Zugehörigkeit gespeichert/verarbeitet werden) sog. Datenschutz-Folgenabschätzungen durchgeführt werden (und darunter fällt eigentlich jeder Steuerberater, wenn er z.B. im Rahmen der ESt-Bearbeitung die Kosten für eine Erkrankung oder die Mitgliedschaften in Parteien oder Gewerkschaften seines Mandanten erfasst/verarbeitet).
- Auch die Rechtsgrundlagen für alle Verarbeitungen personenbezogener Daten müssen in Steuerberatungskanzleien auf die rechtlichen Erlaubnisnormen identifiziert und dokumentiert werden.
- Steuerberatungskanzleien müssen auch Verfahren zum gesetzeskonformen Umgang mit Betroffenenrechten etablieren und betreiben. Hierzu gehört vor allem auch das Löschen von Daten.
- Außerdem muss man sicherstellen können, dass Auskunftsanfragen von Betroffenen vollständig im vorgeschriebenen Zeitraum von max. 2 Wochen erteilt werden können.
- Steuerberatungskanzleien müssen die vorgeschriebenen Verträge zur Auftragsverarbeitung nach Art. 28 der EU-DSGVO abgeschlossen haben (mit SPECTRUM, DATEV, Addison, Agenda, Audicon, Kopierer-Lieferant, Telefon-Dienstleister, sonst. IT-Dienstleistern) und die datenschutzkonforme Leistungserbringung regelmäßig überprüfen.
- Kanzleien müssen auch die eigenen Mitarbeiter so schulen, dass sie in der Lage sind, ihre Datenschutzaufgaben zu erfüllen. Die Schulungen sind zu dokumentieren.
- Des Weiteren muss ein Verfahren zur Meldung von Datenschutzvorfällen eingerichtet werden. Meldungen müssen spätestens 72 Stunden nach deren Entdeckung an die zuständige Aufsichtsbehörde vorgenommen worden sein, eine sehr sportliche Frist.
- Alle Aufträge mit Auftragsverarbeitern sind auf die neuen Anforderungen der EU-DSGVO zu überprüfen. Wurden diese Verträge bisher nicht geschlossen, so ist dies unbedingt nachzuholen. Sollten Subauftragnehmer nicht in der Lage sein, das erforderliche Datenschutz-Niveau zu erfüllen, so muss sich von diesen Dienstleistern getrennt werden.
Festzuhalten bleibt: Die EU-DSGVO wird erhebliche Auswirkungen auf die tägliche Arbeit in der Steuerberatungskanzlei haben.
Das Chaos bei der E-Mail-Verschlüsselung
Einige Datenschützer verlangen plötzlich auch eine 100%-ige Ende-zu-Ende E-Mail-Verschlüsselungs-Pflicht bei Berufsgeheimnisträgern, d.h. von Steuerberatern, Wirtschaftsprüfern, Rechtsanwälten, Ärzten usw..
Manche Steuerberaterkammern haben sich dann dieser Verschlüsselungs-Pflicht-Forderung angeschlossen – ohne aber zu spezifizieren, was man genau darunter versteht.
Die durch die EU-Datenschutzgrundverordnung gestärkten Datenschutzaufsichtsbehörden der 16 deutschen Bundesländer sind sich untereinander selber völlig uneins, was sie bei Berufsgeheimnisträgern bzgl. des E-Mail-Verkehrs fordern sollen.
Es gibt leider auch keine international anerkannten, technischen und brauchbaren E-Mail-Verschlüsselungs-Standards, PGP und S/MIME will fast keiner, da zu kompliziert. Die meisten der heute eingesetzten proprietären E-Mail-Ende-zu-Ende-Verschlüsselungs-Lösungen sind individuell, zum Teil herstellerabhängig, oft unbrauchbar in der Handhabung und beinhalten z.Tl. weitere Sicherheitsrisiken.
Vielen Mandanten ist die E-Mail-Verschlüsselung dabei viel zu lästig und haben schon oft ihren Steuerberatern mit der Kündigung der Mandatsverhältnisse gedroht, wenn man weiter verschlüsselte Mails bekommen würde. Besonders prekär: Die Finanzämter halten sich an keine Standards.
Besonders schlimm ist: Wenn Steuerberater verschlüsselte E-Mails von Mandanten in Empfang nehmen, bekommen sie ggfs. Viren und Trojaner gratis mitgeliefert und verseuchen die Kanzlei-IT.
Was steckt dahinter?
Jahrelang war eigentlich alles unkompliziert: Die briefähnliche Übertragung von Schriftsätzen und Korrespondenz via E-Mail ersetzte in Büros, Verwaltungen und Wirtschaft immer mehr den klassischen Papierbrief und das Telefax. Die E-Mail hat die (geschäftliche) Kommunikation so stark verändert wie keine andere Kommunikationsform in den letzten Jahrzehnten.
Natürlich telefonieren noch viele Menschen miteinander und diese Art der persönlichen Kommunikation ist nicht wegzudenken, doch trotz des Fluchs der vielen täglichen E-Mails ist das heutige tägliche Kommunikations-Pensum, das wir dank der E-Mail täglich leisten, mithilfe von klassischen Techniken wie Telefon, persönlichen Gesprächen, Fax und Brief sicherlich nicht mehr zu realisieren.
Der Siegeszug der E-Mail liegt dabei vor allem in der zeitversetzten Bearbeitbarkeit und der einfachen Handhabung, die nicht nur stationär am PC sondern auch mobil per SmartPhone erfolgen kann.
Würde man der E-Mail-Kommunikation die Einfachheit nehmen, wäre dieses Medium tot.
Das Thema E-Mail-Verschlüsselung wird uns wohl auch in 2019 noch stark beschäftigen.
oder hier weiterlesen: